您的位置 » 首页 » 渗透测试 » 奇人淫技:绕过apache(阿帕奇)目录IP限制技巧

奇人淫技:绕过apache(阿帕奇)目录IP限制技巧

发表于4年前 | 作者: seay | 分类: 渗透测试 | 孵化于:2013年05月02日 | 文章热度:14,916 次 全屏阅读

显示不全请点击全屏阅读

今天搞一个网站,得到后台.

但是打开得到 如下错误.
 
 
403 Forbidden
 
Request forbidden by administrative rules.
 
这情况一般是 没有首页.或者限制IP. 明显后台首先是存在的.
因为是ECSHOP的系统,后台index.php不能随意更改..修改的话同时需要修改一大堆调用.不便修改,那么就是IP限制了..
 
 
http://xxx.es/es/xxxs_admin_manager/
 
这样访问提示
23E38823-8DA6-4BA5-8566-B518515D71D3
 
但当访问 http://xxx.es/es//xxxs_admin_manager/
这样奇迹就发生了
9A8CDA60-2D5D-4B8F-9472-6EB1B21CBD4C
因为conf文件是
 
 
<directory “/www/xxxs_admin_manager”>
    Options Indexes FollowSymLinks
    AllowOverride None
    Order allow,deny
    #Allow from all
    Allow from 10.0.0.116
    #Deny from 10.0.0.0/24
</directory>
/即符合规制APACHE执行限制,当时当加多一个//APACHE规制即不生效.
 
test 环境
 
+ Server: Apache/2.2.8 (CentOS)
+ Retrieved x-powered-by header: PHP/5.2.10
+ The anti-clickjacking X-Frame-Options header is not present.
+ Root page / redirects to: http://xx/?
+ Server banner has changed from ‘Apache/2.2.8 (CentOS)’ to ‘Apache/2.2.3 (CentOS)’ which may suggest a WAF, load balancer or proxy is in place


 

作者:SysShell

Tags:

apache漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/2746/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有7个筒子的人留下了脚印...

  • winger 说:
    1楼
    2013 年 5 月 2 日 下午 8:34 回复

    奇葩 啊 这不科学啊
    不科学啊

    • 【管理员】seay 说:
      2013 年 5 月 3 日 上午 1:16 回复

      我也觉得不科学

  • 冠威 说:
    2楼
    2013 年 5 月 3 日 上午 8:08 回复

    可以报给CVE了 😀

  • botak 说:
    3楼
    2013 年 5 月 4 日 下午 4:15 回复

    我测试木有成功,你有成功过么。。

  • sysshell 说:
    4楼
    2013 年 7 月 30 日 下午 10:17 回复

    别说你们说不科学,我也觉得不科学.
    但是我就是这样搞了几个网站. ➡

  • s4cr00t 说:
    5楼
    2013 年 7 月 31 日 下午 12:14 回复

    测试木通过啊??楼主是编译安装还是系统自带?不知道是否是版本问题?? :sad:

  • stonesheep 说:
    6楼
    2013 年 8 月 1 日 下午 2:59 回复

    测试没有成功。测试环境xp apache2.2.22 :sad:

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)